www.wikidata.de-de.nina.az

Snort ist ein freies Network Intrusion Detection System NIDS und ein Network Intrusion Prevention System NIPS Es kann zu

Snort

Snort ist ein freies Network Intrusion Detection System (NIDS) und ein Network Intrusion Prevention System (NIPS). Es kann zum Protokollieren von IP-Paketen genauso wie zur Analyse von Datenverkehr in IP-Netzwerken in Echtzeit eingesetzt werden. Die Software wird überwiegend als Intrusion-Prevention-Lösung eingesetzt, um Angriffe unmittelbar ereignisgesteuert automatisch zu blockieren. Snort wurde ursprünglich von Martin Roesch entwickelt. Anschließend erfolgte die Weiterentwicklung bei seiner Firma Sourcefire, welche im Oktober 2013 von Cisco übernommen wurde. Im Jahr 2009 wurde Snort in die „Open Source Hall of Fame“ von InfoWorld als eine der besten Vertreter freier Open-Source-Software („greatest open source software of all time“) aufgenommen. Das Maskottchen von Snort ist ein Ferkel mit großer, schnaubender (englisch snort) Nase.

Snort

Basisdaten

Entwickler Sourcefire
Aktuelle Version 3.1.75.0
(22. November 2023)
Betriebssystem plattformunabhängig
Programmiersprache C
Kategorie Intrusion Detection System
Lizenz GPL
deutschsprachig nein
snort.org

Funktionsweise Bearbeiten

Snort „liest“ direkt an der Netzwerkhardware den gesamten vorbeikommenden Netzwerk-Datenverkehr mit. Der Inhalt des Stroms an Datenpaketen wird mit charakteristischen Mustern von bekannten Angriffen verglichen. Diese Muster werden allgemein Signaturen genannt, die bei Snort in „Rules“ (Regeln) festgehalten werden. Zur Mustererkennung wird bei Snort der Aho-Corasick-Algorithmus verwendet. Inzwischen gibt es für Snort einige tausend Signaturen. Da international sehr häufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden. Snort wird allgemein genutzt, um aktiv Netzwerkverkehr zu blockieren oder passiv verschiedene Formen eines Angriffs zu erkennen. Snort lässt sich auch mit anderer Software kombinieren, wie zum Beispiel BASE („Basic Analysis and Security Engine“), Sguil, OSSIM, SnortSnarf und Snorby zur bequemen Steuerung der Software und übersichtlichen grafischen Darstellung von möglichen Einbruchsdaten.

Netzwerk-Basierte IDS (NIDS) Bearbeiten

Snort kann eingesetzt werden, um bekannte Angriffe auf die Schwachstellen von Netzwerksoftware zu entdecken. Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um passiv verschiedene Formen eines Angriffs wie zum Beispiel einen Pufferüberlauf, Portscans, Angriffe auf Web-Anwendungen oder SMB-Probes zu erkennen. Möglichkeiten für Angriffe sind gegeben durch so genannte Exploits, oder eigens dafür bestimmte Programme, wie etwa Internet-Würmer (z. B. Sasser oder W32.Blaster) die ihrerseits wiederum ein Backdoor-Programm (ursprünglich des Administrators Hintertüre bzw. der Wartungszugang) beinhalten können (bzw. selber eines sind) durch das der eigentliche Angriff schlussendlich erfolgt. Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden.

Network Intrusion Prevention System (NIPS) Bearbeiten

Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um aktiv Netzwerkverkehr zu blockieren. Mit Patches für den Snort-Quellcode von “Bleeding Edge Threats” ist die Nutzung von ClamAV zum Virenscan im Datenstrom möglich. Zusätzlich kann der Datenstrom mittels SPADE in den Netzwerklayern drei und vier auf Netzwerk-Anomalien (einschließlich historischer Daten) gescannt werden. Derzeit (2010/2011) hat es jedoch den Anschein, dass diese Patches nicht länger gepflegt werden.

Netzwerkanalysewerkzeug Bearbeiten

Snort kann auch sehr gut bei der Netzwerkanalyse durch den Netzwerkadministrator helfen. Man kann es als Sniffer, ähnlich wie tcpdump, den Netzwerkverkehr gefiltert ausgeben lassen. Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen. Snort kann auch zur späteren Analyse einen Netzwerkdialog zwischen Server und Client mitschneiden und die reinen Nutzdaten (Payload) als eine Art Kommunikationsprotokoll zusammenführen.

Bedeutung im Security Incident Information Sharing (SIIS) Bearbeiten

Bei IT-Spionage verwenden Täter zwar häufig Standard-Werkzeuge, wandeln diese aber vor dem Einsatz gegen ein Opfer leicht ab, um nicht von bereits veröffentlichten Signaturen von IPS- und Antiviren-Anbietern erkannt zu werden. Erkennt das Opfer den Angriff dennoch, und lässt von seinem Anbieter eine Signatur erstellen, so veröffentlicht dieser die Signatur. Die Täter werden so gewarnt und können anhand der Signatur unter bestimmten Umständen sogar erkennen, welches Opfer ihr Werkzeug entdeckt hat.

In vielen Ländern tauschen daher Behörden, bestimmte Industriebereiche aber auch NGOs und karitative Einrichtungen, die typische Ziele von IT-Spionage sind, im Rahmen von SIIS-Projekten Informationen über Sicherheitsvorfälle untereinander aus. Da SNORT-kompatible Regeln zum De-facto-Standard geworden sind, ist dies ebenfalls zum Standardformat beim Austausch von IPS-Signaturen geworden.

Kommerzielle Anbieter und Behörden, die Aufgaben innerhalb der Spionageabwehr wahrnehmen, haben sich ebenfalls auf SNORT-kompatible Signaturen spezialisiert.

SNORT selbst hat den Vorteil, dass Ziele, die aggressiv ausgespäht werden, es zum Einsatz bringen können, ohne einen Beschaffungsprozess anzustoßen. Letzteren können Täter leicht überwachen und so feststellen, welche Werkzeuge ihr Opfer zur Abwehr einsetzt um sich anzupassen. Typischerweise wird in solchen Fällen SNORT passiv eingesetzt. Die Täter wissen daher nicht, ob und woran ihre Bewegungen im Opfernetz erkannt werden. Ihr Verhalten kann so detailliert beobachtet werden und das Opfer kann die von ihnen aufgebaute Infrastruktur identifizieren und so eine konzentrierte Aktion vorbereiten, um sie, ihre Werkzeuge und bevorzugten Verbreitungsmethoden auszuhebeln und zu entfernen.

Geschichte Bearbeiten

Snort wurde zuerst 1998 in einer Unix-Version veröffentlicht. Sein Programmierer Martin Roesch gründete später die Firma Sourcefire. Neben der unter der GNU GPL stehenden Version von Snort bietet Sourcefire auch eine kommerzielle Variante, die zusätzliche Entdeckungs- und Analysemethoden bietet. Sourcefire vertreibt Enterprise-Lösungen für das Network Security Monitoring (NSM) mit speziell entwickelter Hardware und kommerziellem Support. Anfang Oktober 2005 versuchte Check Point mit internationalem Hauptsitz in Tel Aviv, Israel, Sourcefire zu übernehmen. Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben. Der Kauf scheiterte Anfang 2006 wegen des Widerstands der Bundesregierung der USA. Im Oktober 2013 gab das amerikanische Unternehmen Cisco Systems bekannt, dass es die Übernahme von Sourcefire abgeschlossen hat.

Sicherheitsgeschichte Bearbeiten

Auch Snort selbst ist nicht von Sicherheitslücken verschont geblieben. Beispielsweise wurden im Frühjahr 2003 zwei Möglichkeiten zur Erzeugung eines Pufferüberlaufs in Snort gefunden.

Bearbeiten

Kein direkter Zusammenhang besteht mit dem Programm Airsnort – trotz des ähnlichen Namens und der Tatsache, dass Airsnort das Snort-Logo abgewandelt übernahm: das gleiche Schweinchen, jedoch mit Flügeln versehen.

Siehe auch Bearbeiten

Literatur Bearbeiten

  • Ralf Spenneberg: Intrusion Detection und Prevention mit Snort 2 & Co. (mit CD-ROM). Addison-Wesley, November 2005 & 20. Dezember 2007, ISBN 3-8273-2134-4.
  • Brian Caswell, Jay Beale, Andrew Baker: Snort Intrusion Detection and Prevention Toolkit. (Jay Beale’s Open Source Security mit CD-ROM), Elsevier Science & Technology; 17. Dezember 2006, ISBN 978-1-59749-099-3.
  • Kerry J. Cox, Christopher Gerg: Managing Security with Snort & IDS Tools. 1st Edition, O’Reilly Verlag August 2004, ISBN 0-596-00661-6 Leseprobe
  • Peer Heinlein, Thomas Bechtold: Snort, Acid & Co. Open Source Press, Juni 2004, ISBN 3-937514-03-1.

Weblinks Bearbeiten

Schnittstellen Bearbeiten

Einzelnachweise Bearbeiten

  1. Snort v3.1.75.0. 22. November 2023 (abgerufen am 22. November 2023).
  2. The Greatest Open Source Software of All Time. 17. August 2009, abgerufen am 2. Januar 2016 (englisch).
  3. Cisco schließt Übernahme von Sourcefire ab (englisch)
  4. Sourcefire: Cisco kauft Anbieter von Intrusion Detection System SnortGolem, am 24. Juli 2013
  5. Cisco kauft SourcefireAdmin-Magazin, am 25. Juli 2013
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Snort ist ein freies Network Intrusion Detection System NIDS und ein Network Intrusion Prevention System NIPS Es kann zum Protokollieren von IP Paketen genauso wie zur Analyse von Datenverkehr in IP Netzwerken in Echtzeit eingesetzt werden Die Software wird uberwiegend als Intrusion Prevention Losung eingesetzt um Angriffe unmittelbar ereignisgesteuert automatisch zu blockieren Snort wurde ursprunglich von Martin Roesch entwickelt Anschliessend erfolgte die Weiterentwicklung bei seiner Firma Sourcefire welche im Oktober 2013 von Cisco ubernommen wurde Im Jahr 2009 wurde Snort in die Open Source Hall of Fame von InfoWorld als eine der besten Vertreter freier Open Source Software greatest open source software of all time 2 aufgenommen Das Maskottchen von Snort ist ein Ferkel mit grosser schnaubender englisch snort Nase SnortBasisdatenEntwickler SourcefireAktuelle Version 3 1 75 0 1 22 November 2023 Betriebssystem plattformunabhangigProgrammiersprache CKategorie Intrusion Detection SystemLizenz GPLdeutschsprachig neinsnort org Inhaltsverzeichnis 1 Funktionsweise 1 1 Netzwerk Basierte IDS NIDS 1 2 Network Intrusion Prevention System NIPS 1 3 Netzwerkanalysewerkzeug 1 4 Bedeutung im Security Incident Information Sharing SIIS 2 Geschichte 2 1 Sicherheitsgeschichte 2 2 Airsnort Logo 3 Siehe auch 4 Literatur 5 Weblinks 5 1 Schnittstellen 6 EinzelnachweiseFunktionsweise BearbeitenSnort liest direkt an der Netzwerkhardware den gesamten vorbeikommenden Netzwerk Datenverkehr mit Der Inhalt des Stroms an Datenpaketen wird mit charakteristischen Mustern von bekannten Angriffen verglichen Diese Muster werden allgemein Signaturen genannt die bei Snort in Rules Regeln festgehalten werden Zur Mustererkennung wird bei Snort der Aho Corasick Algorithmus verwendet Inzwischen gibt es fur Snort einige tausend Signaturen Da international sehr haufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden sollte die Sammlung der Signaturen ahnlich wie bei Virenscannern regelmassig aktualisiert werden Snort wird allgemein genutzt um aktiv Netzwerkverkehr zu blockieren oder passiv verschiedene Formen eines Angriffs zu erkennen Snort lasst sich auch mit anderer Software kombinieren wie zum Beispiel BASE Basic Analysis and Security Engine Sguil OSSIM SnortSnarf und Snorby zur bequemen Steuerung der Software und ubersichtlichen grafischen Darstellung von moglichen Einbruchsdaten Netzwerk Basierte IDS NIDS Bearbeiten Snort kann eingesetzt werden um bekannte Angriffe auf die Schwachstellen von Netzwerksoftware zu entdecken Snort fuhrt Protokollanalysen durch sucht und vergleicht Inhalte um passiv verschiedene Formen eines Angriffs wie zum Beispiel einen Pufferuberlauf Portscans Angriffe auf Web Anwendungen oder SMB Probes zu erkennen Moglichkeiten fur Angriffe sind gegeben durch so genannte Exploits oder eigens dafur bestimmte Programme wie etwa Internet Wurmer z B Sasser oder W32 Blaster die ihrerseits wiederum ein Backdoor Programm ursprunglich des Administrators Hinterture bzw der Wartungszugang beinhalten konnen bzw selber eines sind durch das der eigentliche Angriff schlussendlich erfolgt Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelost und die Netzwerkpakete zur spateren Analyse oder Beweissicherung mitgeschrieben werden Network Intrusion Prevention System NIPS Bearbeiten Snort fuhrt Protokollanalysen durch sucht und vergleicht Inhalte um aktiv Netzwerkverkehr zu blockieren Mit Patches fur den Snort Quellcode von Bleeding Edge Threats ist die Nutzung von ClamAV zum Virenscan im Datenstrom moglich Zusatzlich kann der Datenstrom mittels SPADE in den Netzwerklayern drei und vier auf Netzwerk Anomalien einschliesslich historischer Daten gescannt werden Derzeit 2010 2011 hat es jedoch den Anschein dass diese Patches nicht langer gepflegt werden Netzwerkanalysewerkzeug Bearbeiten Snort kann auch sehr gut bei der Netzwerkanalyse durch den Netzwerkadministrator helfen Man kann es als Sniffer ahnlich wie tcpdump den Netzwerkverkehr gefiltert ausgeben lassen Snort verfugt aber uber mehr Optionen und kann tcpdump komplett ersetzen Snort kann auch zur spateren Analyse einen Netzwerkdialog zwischen Server und Client mitschneiden und die reinen Nutzdaten Payload als eine Art Kommunikationsprotokoll zusammenfuhren Bedeutung im Security Incident Information Sharing SIIS Bearbeiten Bei IT Spionage verwenden Tater zwar haufig Standard Werkzeuge wandeln diese aber vor dem Einsatz gegen ein Opfer leicht ab um nicht von bereits veroffentlichten Signaturen von IPS und Antiviren Anbietern erkannt zu werden Erkennt das Opfer den Angriff dennoch und lasst von seinem Anbieter eine Signatur erstellen so veroffentlicht dieser die Signatur Die Tater werden so gewarnt und konnen anhand der Signatur unter bestimmten Umstanden sogar erkennen welches Opfer ihr Werkzeug entdeckt hat In vielen Landern tauschen daher Behorden bestimmte Industriebereiche aber auch NGOs und karitative Einrichtungen die typische Ziele von IT Spionage sind im Rahmen von SIIS Projekten Informationen uber Sicherheitsvorfalle untereinander aus Da SNORT kompatible Regeln zum De facto Standard geworden sind ist dies ebenfalls zum Standardformat beim Austausch von IPS Signaturen geworden Kommerzielle Anbieter und Behorden die Aufgaben innerhalb der Spionageabwehr wahrnehmen haben sich ebenfalls auf SNORT kompatible Signaturen spezialisiert SNORT selbst hat den Vorteil dass Ziele die aggressiv ausgespaht werden es zum Einsatz bringen konnen ohne einen Beschaffungsprozess anzustossen Letzteren konnen Tater leicht uberwachen und so feststellen welche Werkzeuge ihr Opfer zur Abwehr einsetzt um sich anzupassen Typischerweise wird in solchen Fallen SNORT passiv eingesetzt Die Tater wissen daher nicht ob und woran ihre Bewegungen im Opfernetz erkannt werden Ihr Verhalten kann so detailliert beobachtet werden und das Opfer kann die von ihnen aufgebaute Infrastruktur identifizieren und so eine konzentrierte Aktion vorbereiten um sie ihre Werkzeuge und bevorzugten Verbreitungsmethoden auszuhebeln und zu entfernen Geschichte BearbeitenSnort wurde zuerst 1998 in einer Unix Version veroffentlicht Sein Programmierer Martin Roesch grundete spater die Firma Sourcefire Neben der unter der GNU GPL stehenden Version von Snort bietet Sourcefire auch eine kommerzielle Variante die zusatzliche Entdeckungs und Analysemethoden bietet Sourcefire vertreibt Enterprise Losungen fur das Network Security Monitoring NSM mit speziell entwickelter Hardware und kommerziellem Support Anfang Oktober 2005 versuchte Check Point mit internationalem Hauptsitz in Tel Aviv Israel Sourcefire zu ubernehmen Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben Der Kauf scheiterte Anfang 2006 wegen des Widerstands der Bundesregierung der USA Im Oktober 2013 gab das amerikanische Unternehmen Cisco Systems bekannt dass es die Ubernahme von Sourcefire abgeschlossen hat 3 4 5 Sicherheitsgeschichte Bearbeiten Auch Snort selbst ist nicht von Sicherheitslucken verschont geblieben Beispielsweise wurden im Fruhjahr 2003 zwei Moglichkeiten zur Erzeugung eines Pufferuberlaufs in Snort gefunden Airsnort Logo Bearbeiten Kein direkter Zusammenhang besteht mit dem Programm Airsnort trotz des ahnlichen Namens und der Tatsache dass Airsnort das Snort Logo abgewandelt ubernahm das gleiche Schweinchen jedoch mit Flugeln versehen Siehe auch BearbeitenStateful Packet Inspection Contentfilter pfSense OPNsenseLiteratur BearbeitenRalf Spenneberg Intrusion Detection und Prevention mit Snort 2 amp Co mit CD ROM Addison Wesley November 2005 amp 20 Dezember 2007 ISBN 3 8273 2134 4 Brian Caswell Jay Beale Andrew Baker Snort Intrusion Detection and Prevention Toolkit Jay Beale s Open Source Security mit CD ROM Elsevier Science amp Technology 17 Dezember 2006 ISBN 978 1 59749 099 3 Kerry J Cox Christopher Gerg Managing Security with Snort amp IDS Tools 1st Edition O Reilly Verlag August 2004 ISBN 0 596 00661 6 Leseprobe Peer Heinlein Thomas Bechtold Snort Acid amp Co Open Source Press Juni 2004 ISBN 3 937514 03 1 Weblinks BearbeitenHomepage sourcefire com Hersteller von Snort emergingthreats net Community fur Snort Regeln Kostenloses IDS IPS Tool Snort im Test Chris Riley Das Snort IDS erkennt Einbruchsversuche In ADMIN Magazin Linux New Media AG abgerufen am 15 Marz 2010 Schnittstellen Bearbeiten Snorby a new and modern Snort IDS front end Ruby on Rails Web Frontend sguil sf net Tcl Tk Schnittstelle IDS Policy Manager Verwalter fur Regeln dragos com cerebus ncurses Browser fur Snort Logs Basic Analysis and Security Engine Web FrontendEinzelnachweise Bearbeiten Snort v3 1 75 0 22 November 2023 abgerufen am 22 November 2023 The Greatest Open Source Software of All Time 17 August 2009 abgerufen am 2 Januar 2016 englisch Cisco schliesst Ubernahme von Sourcefire ab englisch Sourcefire Cisco kauft Anbieter von Intrusion Detection System Snort Golem am 24 Juli 2013 Cisco kauft Sourcefire Admin Magazin am 25 Juli 2013 Abgerufen von https de wikipedia org w index php title Snort amp oldid 226040612